��Jak dzia a wirus Jak dzia a wirus O wirusach komputerowych powstaj legendy, w telewizji s yszy si o kolejnych atakach mikrob�w, w filmach wirusy coraz cz ciej graj wa ne, cho przewa nie negatywne role. Ma o os�b zdaje sobie spraw , e to nie wirusy poczyni y w ostatnich czasach najwi ksze szkody. O wiele wi kszym zmartwieniem s dzi robaki i wirusy makr. Dlaczego wirus? Dlaczego wirus? Nazwa powsta a przez analogi do naturalnego wirusa. Jest to bardzo dziwny tw�r, poniewa z biologicznego punktu widzenia jest martwy. Nie yje, nie ma metabolizmu, nie porusza si , nie rozmna a si samodzielnie, a jednak ma si doskonale. Jest kawa kiem informacji DNA wyposa onej w naturalny interfejs pozwalaj cy czy si z ywymi kom�rkami. Po po czeniu wirus podmienia kod genetyczny, zmuszaj c kom�rk do zmiany zachowa oraz tworzenia swoich kopii. Ca kiem jak komputerowy odpowiednik. Typy szkodnik�w Typy szkodnik�w Wirus samopowielaj cy si fragment kodu. Ma mechanizmy pozwalaj ce czy si z innymi programami. Mo e Wirus zarazi dyski, zapisuj c si sektorze startowym. Zaawansowane wirusy potrafi maskowa sw�j kod r�d owy, wy cza oprogramowanie antywirusowe czy mutowa , utrudniaj c identyfikacj . Robak program maj cy za zadanie mno y si w sieciach komputerowych, przejmowa funkcje serwera i Robak zapycha cza sztucznym ruchem. Ko troja ski szkodliwy program, kt�ry udaje, e jest normaln aplikacj . W zale no ci od zamiar�w tw�rcy Ko troja ski mo e umo liwia przej cie kontroli nad komputerem, wysy a poufne informacje o u ytkowniku czy niszczy dane na dysku. Wirus makr szkodnik oparty na j zyku skryptowym charakterystycznym dla danej aplikacji. W praktyce Wirus makr najcz ciej jest to skrypt VBA wykorzystuj cy dziury w zabezpieczeniach Microsoft Office. Rodzajem tego typu szkodnik�w s tak e wirusy e-mailowe. mier wirusa mier wirusa Czasy wietno ci klasyczne wirusy maj za sob . Kiedy wi kszo danych, programy, a nawet systemy operacyjne by y przechowywane na dyskietkach i przenoszone mi dzy komputerami, wirusy mia y raj. Zainfekowana dyskietka zara a a komputer, kt�ry nagrywa kopi wirusa na kolejn dyskietk , ta w drowa a do nast pnej maszyny. Jednak programy zacz y si rozrasta i do powszechnego u ytku wesz y p yty CD. Z racji tego, e na wyt oczonym CD nie mo na niczego nagra , mo liwo ci rozmna ania si dramatycznie si skurczy y. Do upadku wirus�w przyczynili si tak e producenci sprz tu, wprowadzaj c zabezpieczenia przed nieautoryzowan modyfikacj sektora startowego dysku. Nie bez znaczenia by a te rosn ca wiadomo u ytkownik�w, kt�rzy zacz li stosowa oprogramowanie antywirusowe. Nie nale y jednak uwa a , e jeste my bezpieczni. Nigdy nie wiadomo, czy jaki psychopata nie tworzy w a nie nowego zagro enia. Ochrona przed makrami w Office Ochrona przed makrami w Office Jednym z najprostszych sposob�w na zwi kszenie bezpiecze stwa swoich danych jest wy czenie automatycznego wykonywania makr. Uruchamiamy Word i z menu Narz dzia wybieramy pozycj Opcje. W Narz dzia Opcje pojawiaj cym si oknie znajdujemy zak adk Zabezpieczenia. Na niej klikamy na przycisk Bezpiecze stwo Zabezpieczenia Bezpiecze stwo makr. Pojawi si okno, w kt�rym zaznaczamy pozycj rednie. Mo esz zdecydowa , czy uruchamia makr rednie. Mo esz zdecydowa , czy uruchamia potencjalne niebezpieczne makra. Wychodzimy z opcji, klikaj c na OK. Od tej pory b dziemy potwierdzali potencjalne niebezpieczne makra OK uruchamianie si ka dego potencjalnego niebezpiecznego makra. Sieciowe pu apki Sieciowe pu apki Na miejsce klasycznych wirus�w wesz y twory wykorzystuj ce Internet. Najpopularniejszym sposobem na dokonanie szk�d jest wirus pocztowy. Przyk adami s Melissa i ILOVEYOU (zwany listem mi osnym). Wykorzystuj one zar�wno dziury w zabezpieczeniach program�w, jak i naiwno u ytkownik�w. Trik Melissy polega na umieszczeniu w pliku DOC makra, kt�re wysy a o do pierwszych 50 adresat�w ksi ki adresowej kopi listu z do czonym feralnym dokumentem DOC. List zawiera kilka s �w zach caj cych do otwarcia za cznika. E-mail m�g sprawia wra enie, e zosta napisany przez cz owieka by nawet podpisany imieniem w a ciciela komputera wysy aj cego. Je li kto by na tyle naiwny, eby wykona polecenie, stawa si ogniwem infekcji. Wirus zara a tak e Word, tak e ka dy nowy dokument zawiera kod Melissy. Ciekawym przyk adem jest wirus ILOVEYOU. Bazowa on na sk onno ci u ytkownik�w do sprawdzania nowych program�w oraz pr� no ci. Bo jak inaczej wyt umaczy fakt, e miliony u ytkownik�w wiadomie uruchomi o program, kt�ry przyszed jako za cznik od nieznanego nadawcy? Mo e wyznanie mi o ci u pi o czujno ? Trudnym, bo wymagaj cym znajomo ci dzia ania skomplikowanych program�w i rodowisk sposobem na sterroryzowanie sieci jest napisanie robaka. Jak zab�jczy mo e by dobrze skonstruowany insekt, wiadcz przeprawy ze Slammerem. Fa szywki Fa szywki Atmosfer strachu wok� wirus�w cz sto wykorzystuj szukaj cy naiwnych artownisie. Od czasu do czasu pojawiaj si wysy ane e-mailem alarmuj ce wiadomo ci o nowym szczeg�lnie gro nym wirusie. Zawieraj one szczeg� owy opis, jakie szkody wyrz dzi nam wirus, i strasz , e jest to powa ne zagro enie, na kt�re na razie nie ma szczepionki. P� biedy, je li na tym si ko czy. Niekt�re listy podaj cudowne recepty, jak zabezpieczy si przed mikrobem najcz ciej wykonanie za czonych instrukcji ko czy si uszkodzeniem systemu. Taka sytuacja mia a miejsce w przypadku listu namawiaj cego do usuni cia rzekomego wirusa jdbgmgr.exe zbi�r, kt�ry wed ug zalece trzeba by o skasowa (mia charakterystyczn ikon z pluszowym misiem) by wa nym plikiem systemowym. Alarmy-fa szywki na szcz cie rzadko s t umaczone na j zyk polski. Samo z o Samo z o Analizuj c Slammera, nie spos�b nie dostrzec zimnej kalkulacji robak rozmna a si z niewiarygodn pr dko ci w jednym celu niszczy . Domowy pecet ze sta ym czem m�g wysy a kilkaset zaka nych pakiet�w na sekund . Firmowe serwery stanowi y wr cz monstrualne wyl garnie nowych zarodnik�w. Robak nie tylko zara a podatne maszyny (s raporty o 750 000 zainfekowanych serwerach SQL), ale skutecznie blokowa wszystkich u ytkownik�w Internetu, zapychaj c sie miliardami pakiet�w danych. O ile poprzedni s ynny szkodnik robak Code Red opr�cz rozmna ania si mia jeszcze zadanie atakowa witryn Bia ego Domu (WWW.whitehouse.gov), to Slammer niszczy wszystko, co napotka na drodze. Kto to pisze Kto to pisze Kto pisze wirusy i dlaczego? W ludziach drzemie ch zniszczenia i frustracja. Kto , kto nie ma innego sposoby, eby zaistnie w wiadomo ci innych inaczej ni powoduj c straty materialne, podpala przystanki autobusowe, ma e flamastrem czyste ciany, pisze wirusy. Znane s wprawdzie nieliczne przyk ady wirus�w, kt�rych pojawienie si wi za o z jakim manifestem czy protestem, na przyk ad politycznym (apele o poparcie dla Palestyny), lub og�lnym (przeciwko Microsoftowi), jednak znakomita wi kszo to zwykle przest pstwo wymierzone w u ytkownik�w. Nie dajmy, si jednak zastraszy . Odrobina przezorno ci wystarczy, eby nie da satysfakcji chuliganom. Z perspektywy robaka Z perspektywy robaka Wsp� czesne robaki i wirusy staj si coraz bardziej wyspecjalizowane. Ich tw�rcy nie staraj si napisa uniwersalnego kodu, lecz program, kt�ry wykorzystuje konkretn s abo danej aplikacji lub systemu. Dobrym przyk adem jest nies awny robak Slammer. By a to relacja z perspektywy producenta antywirus�w Symanteca. Zobaczmy, jak ca a infekcja wygl da a z punktu widzenia robaka. Jak na program, kt�ry spowodowa miliardowe straty, zablokowa na jaki czas ruch internetowy w wielu miejscach wiata czy wy czy spor cz sieci kom�rkowej w Korei, Slammer jest do niepozorny. Jego kod zajmuje 376 bajt�w czyli kilkana cie razy mniej ni ten artyku . 15 minut do rozpocz cia ataku Slammera pierwsze du e serwery przesta y dzia a ze wzgl du na przeci enie cz. Jak to mo liwe, eby robak dzia a tak szybko? Tajemnica tkwi w sposobie rozsiewania kopii szkodnika. Wykorzystuje on internetowy protok� UDP szybsz i l ejsz wersj znanego TCP. W TCP, aby przes a dane, komputer nadaj cy i odbieraj cy musz nawi za dialog. Nadawca nie zacznie wysy a danych, zanim odbiorca nie da sygna u, e jest gotowy. Protok� UDP wykorzystuje natomiast podr� uj ce w jedn stron , zaadresowane do konkretnego serwera pakiety informacji. Ich nadanie nie wymaga pozwolenia odbiorcy. Tak si z o y o, e protok� UDP jest szeroko wykorzystywany przez Microsoft SQL Server 2000 do zdalnego przeszukiwania baz danych. Co wi cej, podobny kod obs ugi SQL jest wbudowany w szereg innych aplikacji Microsoftu. Wiele z ofiar Slammera nawet nie wiedzia o, e korzysta z SQL. Robak mo liwo dzia ania zawdzi cza b edowi typu buffer overflow, czyli przepe nieniu bufora. W skr�cie trik mo na opisa nast puj co je li wy lemy bardzo du porcj danych i w jaki spos�b nak onimy program odbieraj cy, eby nie zweryfikowa wielko ci naszej paczki, to zawarto komunikatu b dzie wi ksza ni przeznaczone dla niego miejsce. Jego wychodz ca poza bufor cz nadpisze wi c inne rejony pami ci w tym fragmenty kodu programu-gospodarza. Zobaczmy krok po kroku, jak wygl da infekcja Slammerem. 1. Do komputera z Microsoft SQL Server 2000 nadchodzi pakiet UDP z pro b o wyszukanie informacji w bazie 1. danych. Tak si przynajmniej wydaje. 04 pierwsza liczba w ci gu sygnalizuje serwerowi, e po niej nast pi nazwa bazy, kt�r trzeba przeszuka . Wed ug specyfikacji Microsoftu nazwa ma mie 16 bajt�w i ko czy si liczb 00. Jednak w feralnym pakiecie 00 nie wyst puje. Serwer SQL nie ma planu dzia ania na tak ewentualno ca y pakiet jest wklejany do pami ci. 2. Zapisany pakiet na pocz tku sk ada si z serii liczb 01 zajmuj cej 128 bajt�w. To wystarczy, eby zape ni 2. bufor na przychodz ce paczki UDP. Dalsza cz pakietu jest zapisywana na miejscu tak zwanego stosu. Stos to miejsce w pami ci, gdzie program przechowuje list zada , kt�re ma do zrobienia. Slammer zast pi wi c oryginaln list zada w asn , czyli przeprogramowanie zaatakowan aplikacj bez wzbudzenia niczyich podejrze . 3. Dalej sprawy tocz si b yskawicznie. Program przekazuje inicjatyw robakowi. Slammer odczytuje liczb 3. milisekund, kt�re up yn y od w czenia serwera, i tworzy z niej adres IP, pod kt�ry wy le nowy pakiet. W praktyce jest to adres losowy. 4. Robak ma ju adres nowej potencjalnej ofiary, teraz przygotowuje zawarto przesy ki, jako r�d o wskazuj c 4. samego siebie. 5. Serwer, zgodnie z poleceniem, wysy a nowy sfa szowany pakiet UDP. W kolejnym obrocie p tli robak tworzy 5. nowy adres i zleca wysy anie nast pnego pakietu. Mechanizm ruszy . W zale no ci od przepustowo ci cza i mocy komputera rozsiewa teraz po Internecie od kilkuset do kilkuset tysi cy swoich kopii na sekund . Tu zwraca uwag spryt programisty Slammer nie marnuje nawet setnej cz ci sekundy na ponowne odwo anie si do zegara systemowego nowy adres losowy tworzy, przypadkowo zamieniaj c miejscami cyfry w poprzednim adresie IP. Po kryzysie wywo anym przez ten atak podnios a si fala g os�w, e skala zniszcze nie by aby tak du a, gdyby zamiast SQL Servera 2000 Mictosoftu stosowano oprogramowanie Open Source. Gdyby kod r�d owy by og�lnie dost pny, by mo e kto wcze niej wy apa by dziur w zabezpieczeniach i uniemo liwi by atak. Jest to jednak tylko teoria.